Vlákno názorů k článku Únik desítek tisíc hesel z Kuma.cz a hlava v písku od Phenix - Přečetli si vůbec ti co kritizují Michala Špačka...
-
Phenix (neregistrovaný)
Přečetli si vůbec ti co kritizují Michala Špačka celý článek?
Ty hesla byla již nekolik měsíců zveřejněna :)
velmi doporučuji si přečíst alespoň jeho blog a shlédnout některé přednášky, edukuje již několik let zdarma (samozřejmě že je to PR, rohlík.cz mu asi zdarma rohlíky nepošle), ale ignoranstvi přijmout pravdu a věnovat 2 hodiny zabezpečení vlastního řešení (vyzkoušeno za vás) je holt o hodinu a padesát osm minut náročnější než se vyzvracet do komentářů :) -
Petr (neregistrovaný)
Přečetli. A s tím eshopem mimochodem nemám nic společnýho.
To školení zdarma rozhodně není. Cena je
9990 Kč bez DPH, 12088 Kč s DPH, 50% sleva pro studenty
zdroj: https://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaciCo vadí mně jsem napsal sem:
Především tady:
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105722/A pak trochu tady
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105639/
https://www.lupa.cz/clanky/unik-desitek-tisic-hesel-z-kuma-cz-a-hlava-v-pisku/nazory/1105641/ -
Tom (neregistrovaný)
to školení je jedna s minoritních aktivit, které pořádá, není uvedeno v článku, ale až na osobních stránkách autora, na které má proklik přes jeho profil, na těch stránkách je školení jen jedna z aktivit, kdybys šel trochu níž, máš tam zdarma jeho přednášky všeho druhu. Není to trochu od tebe tendenční? Drtivá většina tady nestálých autorů poskytují nějaké placené konzultace, školení, znamená to, že pokud někam píšu, musím být zaměstnanec a nemohu se živit na volné noze či musím psát pod pseudonymem, abys mě nevyhledal na googlu a neřekl, že dělám PR?
Z těch tvých 36000 eshopů jich asi moc nemá na stažení přihlašovací údaje 80k uživatelů, co? Nebo víš o jiným? Myslím, že ne. Tvoje konstatování, že to je "většina" je prostě zavádějící, je schválně nadnesené jen abys váhou podpořil svoje teorie.
A mimochodem i moje heslo bylo v daném exportu a vůbec z toho nejsem nadšený, protože to dokazuje, že mají hesla v plaintextu v db, hnus.
-
Petr (neregistrovaný)
Já si naopak myslím, že z těch 36000 lidí si neplatí měsíční paušál za údržbu eshopu prakticky nikdo.
Všichni tady už roky mluví o tom, jak je prasárna mít hesla v plaintextu. Já bych zase řekl, že je prasárna skládat SQL dotazy konkatenací stringů.... Bohužel, PHP přišlo na začátku s hloupým přístupem, který je stále ještě popsaný ve většině tutoriálů.
Mimochodem, když se před pár lety běžně doporučovalo hashování hesel, mluvilo se o MD5 a když byl někdo jó fajnšmekr, tak tam dal sha1.
-
petr (neregistrovaný)
Ze je MD5 nevhodne se i na ceskych webech resilo uz pred cca 10 lety, viz https://www.google.cz/search?sitesearch=diskuse.jakpsatweb.cz&domains=www.jakpsatweb.cz%3Bdiskuse.jakpsatweb.cz&num=50&ie=iso-8859-2&q=md5
Ukladat plaintext hesla byla uz tehdy totalni prasarna. Nevim o jakych "par letech" mluvite.
Je zajimave, ze vam neni cizi pouzivani technickych vyrazu jako "konkatenace SQL stringu", ktere by napovidaly, ze tomu rozumite. Zaroven ale v jinych vecech delate (schvalne?) neznalka.
Zajimala by me vase motivace, proc se toho eshopu zastavate a celou situaci obecne ohledne zabezpeceni zlehcujete? -
Petr (neregistrovaný)
Zkus si ty diskuse pořádně prolistovat dřív než mě z něčeho nařkneš. Některá (některá, ne všechna.) vlákna vypadala takto:
Tazatel zcela spolehlivě došel k tomu, že "zatím" použije MD5, o kterém v knize Mistrovství v PHP5 (vydáno 2005) píší, že stačí.
https://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=57546#14V té době byl jen hod kostkou, zda programátor narazil na vlákno, kde mu doporučili SHA256 se solí, nebo řekli že MD5 je ok.
Už jsem říkal, že ten článek považuju za bouři ve sklenici vody? Podobně děravejch eshopů je tu tak 30 000.... Tenhle článek na tom nic nezmění, protože prodejci svíček Lupu nečtou. Tenhle článek má na druhou stranu potenciál poškodit podnikání tohohle člověka, protože jeho klientela by se tu vyskytovat mohla.
-
petr (neregistrovaný)
Tazatel zacal (2007) celou diskusi tim, ze se nekde docetl, ze MD5 bylo prolomeno a neni bezpecne... Nacez z (pro me) nepochopitelneho duvodu (pro vas spolehlive) radeji uveri knize z roku 2005 (ktera je mimochodem prekladem z EN originalu z roku 2004, kdy opravdu bylo jeste MD5 asi povazovano za OK).
Sam mel tehdy zjevne uz nejake pochybnosti! Nicmene vy to tu date jako priklad o opaku, to je kouzelne...
Vite, ja jsem zacal delat weby od roku 2005. Na JakPsatWeb.cz i jeho diskusi jsem prakticky vyrostl. Stejne jako na Intervalu ci tehdy trochu jinak zamerene Lupe ci Rootu a dalsich webech. Tou dobou jsem si prosel az do dneska, vim o cem mluvim. A vite proc jsem ja sam uz tehdy zacal ukladat hesla hashovane? Proste z toho duvodu, ze mi prislo neeticke, abych k nim mel ja sam pristup! I proto jsou plaintextova hesla proste prasarna odjakziva! Kez by na kuma.cz meli alespon tu MD5..., ale to se pak uz nelze divit nicemu.
Dalsi diskuse s vami uz myslim nema smysl. I podle zbytku vasich reakci v jinych vlaknech tady bud jen trollite, nebo jste v tom nejak osobne zainteresovan, jinak si to neumim vysvetlit.
ČLÁNKY DO MAILU